Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 30 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 45018 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

All traffic via StrongVPN/HideMyAss etc.???

BorisTheSpider
Hi,

I am considering getting one of the public VPN services like HideMyAss or StrongVPN - can I use the site-to-site VPN functionality in Astaro and set this up so any internet bound traffic gets routed via the VPN service?

I believe, from initial reading, the SSL vpn wouldn't work for this because I wouldn't have the right type of config file to give my astaro, so I guess it's got to be IPSEC.

If people have done this, perhaps you could tell me which particular providers of VPN service this is tested and working with, and any setup pointers you can provide are obviously appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Boris, if you can connect your home Astaro to one of those VPN services, you just need to define the VPN in the Astaro to have "Internet" in 'Remote Networks' (that is what would work with a second Astaro in the Cloud).  If you have no Firewall rules allowing traffic, then all other traffic will be blocked.

    If you use OpenVPN, be sure to configure to use UDP instead of TCP if the service supports it.

    I don't know if you'll be able to use Web Filtering in your home Astaro though.  If someone could try the following idea and report back, it would be appreciated by many! [;)]  Normally, proxy traffic leaves from the IP of "External (Address)" and is allowed by hidden Firewall rules.  You might be able to force it to go through the VPN by using a parent proxy somewhere on the internet.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Boris, if you can connect your home Astaro to one of those VPN services, you just need to define the VPN in the Astaro to have "Internet" in 'Remote Networks' (that is what would work with a second Astaro in the Cloud).  If you have no Firewall rules allowing traffic, then all other traffic will be blocked.

    If you use OpenVPN, be sure to configure to use UDP instead of TCP if the service supports it.

    I don't know if you'll be able to use Web Filtering in your home Astaro though.  If someone could try the following idea and report back, it would be appreciated by many! [;)]  Normally, proxy traffic leaves from the IP of "External (Address)" and is allowed by hidden Firewall rules.  You might be able to force it to go through the VPN by using a parent proxy somewhere on the internet.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Boris, if you can connect your home Astaro to one of those VPN services, you just need to define the VPN in the Astaro to have "Internet" in 'Remote Networks' (that is what would work with a second Astaro in the Cloud).  If you have no Firewall rules allowing traffic, then all other traffic will be blocked.


    Thanks - I see, that makes sense. 


    If you use OpenVPN, be sure to configure to use UDP instead of TCP if the service supports it.


    Thanks for reminding me about that - I remember that making a pretty massive performance difference when I set up my own VPN for accessing my LAN when I'm away.

    If I can find a way to use IPSEC with one of these services, I'll do that instead though as I believe that is likely to give even better performance.


    I don't know if you'll be able to use Web Filtering in your home Astaro though.  If someone could try the following idea and report back, it would be appreciated by many! [;)]  Normally, proxy traffic leaves from the IP of "External (Address)" and is allowed by hidden Firewall rules.  You might be able to force it to go through the VPN by using a parent proxy somewhere on the internet.


    Yes, I'll report back. It may be a little while, since I am about to build a new box for UTM9 so I'll only set this up in a couple of weeks once that is complete. Hopefully, if I do go for a StrongVPN/HMA type provider, one of them has a proxy I can use as a parent, otherwise I might lean towards doing this with a vps and a remote astaro installation, as one of the reasons I'm building a new firewall box is to have sufficient performance to run antivirus and web caching, so I really want to have proxying back as I have had it disabled for a long time due to poor performance on my current old hardware.
  • 0 in reply to BorisTheSpider
    Gents,

    Something occurs to me. Can you tell me anything about how DNS requests would be handled, both in the context of not using the proxy, and of using the proxy.

    If not proxying, so the client is just making say an HTTP connection on port 80 and this is being sent over the VPN, but the client uses the astaro as it's DNS (the astaro is doing dns forwarding/caching), is there any possibility the astaro would "leak" the dns requests over it's own uplink rather than using the VPN to get to the remote DNS servers?

    The same question in the case of using the proxy with a "parent proxy" on the internet - how will the proxy resolve addresses, will it use the parent proxy to do the resolution (which is fine), will it do the resolution itself but over the VPN (which is fine), or will it do the resolution over it's own non-vpn uplink (not fine obviously).

    If it turns out to be the case that either of these scenarios leak DNS requests over the unencrypted uplink, then I guess I can reconfigure the clients (or provide via dhcp) with internet based (eg. opendns) servers to do the name resolution themselves, but I'd prefer to keep using the astaro for performance/caching.


    Any input greatly appreciated.
Unfiltered HTML